-
Junior Member
- Вес репутации
- 52
Троянские программы и непонятные вирусы
Добрый день. Вчера переустановил винду ХР Pro с SP 3 установил новый нод 4 с последними базами произвел проверку и нашел вирусняк. Естественно удалил. но даже после проверки нашел в корне диска файл xdx.exe, fewxdx.exe, в папке recycler файл acleaner.exe, в папке windows ggdrive32.exe, в system32 файлы 25.exe, 53.exe, 55.exe и т.д., и иногда вылетает черное окошко в котором курсор прыгает по нему в разных местах. Я закрываю его, но через несколько секунд снова выплывает оно. Затем нод срабатывает и удаляет эту троянскую программу по его словам. Такое происходит тогда когда я снова подключаюсь к интернету, нод пишет что блокирует соединение, но вирус каким то образом все ровно оказывается в папке Documents and Settings. И может ли быть, что мне по локальной сети кто то кидает вирусы и как мне защитится от этого? Помогите пожалуйста. Прикрепляю логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\ghdrive32.exe');
QuarantineFile('C:\xdx.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\hddd.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\bnet.exe','');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\44.exe','');
QuarantineFile('C:\WINDOWS\system32\13.exe','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
QuarantineFile('c:\windows\ghdrive32.exe','');
DeleteFile('c:\windows\ghdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\Documents and Settings\Администратор\bnet.exe');
DeleteFile('C:\Documents and Settings\Администратор\hddd.exe');
DeleteFile('C:\xdx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 52
Прикрепляю свежие логи и лог mbam
-
Junior Member
- Вес репутации
- 52
И еще непонятные файлы на диске в папке пользователя: hddd.exe и new1.exe. Удалял их, но они снова появляются. В шапке черного окна написан адрес с названием на конце этого файла hddd.exe они к тому же грузят ЦП на 99%
-
Удалите в MBAM:
Код:
Заражённые папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\WINDOWS\system32\80.exe (Worm.Palevo.XGen) -> No action taken.
c:\WINDOWS\system32\07.exe (Worm.Palevo.XGen) -> No action taken.
c:\WINDOWS\system32\33.exe (Worm.Palevo.XGen) -> No action taken.
c:\WINDOWS\system32\45.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\L9PCDVZ8\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ENDOFQ30\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ENDOFQ30\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\RYNLONQO\new2[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\RYNLONQO\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ND5A04TL\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ND5A04TL\new2[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ND5A04TL\m[2].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\L9PCDVZ8\update[1].php (Trojan.VKHost) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ENDOFQ30\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ENDOFQ30\new2[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\RYNLONQO\new2[2].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ND5A04TL\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ND5A04TL\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ND5A04TL\m[2].exe (Backdoor.Bot) -> No action taken.
e:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe (Backdoor.Bot) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Junior Member
- Вес репутации
- 52
-
-
-
Junior Member
- Вес репутации
- 52
Снова обнаружил непонятные файлы
C:\WINDOWS\system32\71.exe - модифицированный Win32/Injector.FXS троянская программа - очищен удалением (после следующего перезапуска)
Нод удаляет, но они снова появляются там же, только обозначаются другими цифрами тоже двухзначными.
-
-
-
Junior Member
- Вес репутации
- 52
С праздником вас.
Снова обнаружил множество непонятных exe-шек с двузначными цифрами они грузят систему на 99% периодически запускаются в среднем через 5 - 10 минут, закрываю и удаляю из систем 32,только они как тараканы снова появляются. В логах найдете множество других вирусов. Снова появились hdddx.exe и new1.exe.
У меня дома к интернету подключены 2 компьютера, соединить по локалке их не получилось. Канал делиться через свич. Может вирус перебрался ко мне с того компьютера? Сделав повторные логи, прикрепляю к сообщению.
У меня начала часто вылетать одна и та же ошибка:
Windows - диск отсутствует
Exception Processing Message c0000013 Parametrs 75b3bf7c 4 75b3bf7c 75b3bf7c. После этого у меня закрываются программы (Мой компьютер, мои документы, avz и т.д.) кроме браузера. За тем запускается hdddx.exe или его разновидность (черное окно с прыгающим курсором, но с другим названием.)
Последний раз редактировалось tasohell; 24.04.2011 в 15:11.
-
Junior Member
- Вес репутации
- 52
Я просмотрелпохожие темыу вас на сайте. У меня такая же проблема как и у парня в теме: Помогите! ghdrive32, hddd, new1 *.exe. Только меня не взламывают. но с такого же адреса как на скрине приходит какая то хрень. Нод блокирует - изолирует. Но всеровно трояны оказываются на винчестере в папках винды, пользователей и так далее.
Добавлено через 41 минуту
Ребят, у вас нет идей, что нужно сделать чтоб этих тварей истребить? Ответьте пожалуста?
Последний раз редактировалось tasohell; 24.04.2011 в 23:28.
Причина: Добавлено
-
Отключите:
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\ghdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\xdx.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
REgKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Сделайте лог MBAM.
Установите все обновления отсюда + IE8.
Сообщение от
tasohell
С праздником вас.
Вас тоже.
-
-
Junior Member
- Вес репутации
- 52
Готово. Только обновление виндовс не сделал еще. Сейчас займусь им. Вот логи. Карантин в папке AVZ не отправляеться. его нет в папке AVZ.В этой же папке есть папка карантин там еще одна с сегоднешней датой но она прост открываеться и там какие то файлы.
P.S я добавил папку с сегоднешней датой в архив и выслал согласно правилам.
P.S.S Результат загрузки
Ошибка загрузки.
Разрешена загрузка только zip файлов.
у меня только Winrar.
Последний раз редактировалось tasohell; 25.04.2011 в 01:13.
-
Сообщение от
tasohell
Только обновление виндовс не сделал еще.
Пока этого не сделать, лечиться бесполезно
Сообщение от
tasohell
Ошибка загрузки.
Разрешена загрузка только zip файлов.
у меня только Winrar.
Он тоже позволяет создавать zip-архивы
Удалите в МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Trojan.Win32.Pincav.bevq ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198213, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\windows\\ghdrive32.exe - Net-Worm.Win32.Kolab.zmd ( DrWEB: Trojan.DownLoader2.45522, BitDefender: Trojan.Generic.KD.199982, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\windows\\system32\\03.exe - Net-Worm.Win32.Kolab.zka ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\windows\\system32\\13.exe - Net-Worm.Win32.Kolab.zjz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\windows\\system32\\44.exe - Net-Worm.Win32.Kolab.zka ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\windows\\system32\\57.exe - Net-Worm.Win32.Kolab.zjz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\windows\\system32\\88.exe - Net-Worm.Win32.Kolab.zka ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\xdx.exe - Trojan.Win32.Pincav.bewl ( DrWEB: Trojan.PWS.Panda.2035, BitDefender: Trojan.Generic.KD.200073, AVAST4: Win32:Inject-AGC [Trj] )
-